Связаться по Skype: vkarabedyants
Позвонить Написать
+7 (499) 404-28-83

Блог о системном администрировании серверов и сайтов

Установка, настройка программного обеспечения Linux, Windows операционных систем

Угрозы 2018, часть 2

Продолжение статьи

А что же майнеры?

Говоря о тенденциях нельзя не упомянуть о майнерах. Дей­ствительно их взлет был совершенно неожиданным. Те­перь же количество майнеров, попадающих в антивирус­ные базы исчисляется сотнями. В день на Linux (см. рис. 4), на Мас (см. рис. 5).удаление вирусовзащита от вирусов

Скриншоты для иных ОС приводить даже нет смысла. Буквально вал желающих заработать. И пришествие майне­ров принесло совершенно неожиданные проблемы.

Очень многие майнеры (что кстати видно и на рис. 4-5) классифицируются не как троянские программы, а как утилиты. Потенциально-вредоносное ПО К такому ПО также относятся скажем средства удаленного управления.

При заходе с другого компьютера с установленным DRWEB антивирус сайт блокирует и выдает сообщение об обнаружении трояна Tool.BtcMine. 1051 и блокирует сайт. У меня же на компе ничего не блокирует и при сканирова­нии не находит.

Ошибки настройки. Вместо того, чтобы определить список программного обеспечения, разрешенного для использова­ния в сети — для потенциально-вредоносных программ уста­навливается действие Игнорировать. Результат понятен — антивирус угрозу знает, но сообщать ему о ней запрещено.

Очень часто встречается мнение, что майнеры не вредоносные программы и антивирус обнаруживать их вообще не должен. Но это проходит после первой блокировки работы сервера компании — современные майнеры умеют искать пароли и распространяться по сети (в том числе используя уязвимости)

Еще одна проблема связанная с майнерами — это скрип­ты. Скриптовые вредоносные программы существуют давно, проблемы, связанные с их обнаружением — это тоже событие года 2017. Собственно проблемы обнаружить как таковой скрипт нет, проблема в том, что их слишком просто модифицировать без изменения функционала, а сигнатуры вредоносных скриптов могут быть похожи на сигнатуры скриптов легитимных.

В 2017 году на компьютерах пользователей чаще всего выявлялись сценарии и вредоносные программы, пред­назначенные для загрузки из Интернета других троянцев, а также для установки опасных и нежелательных приложе­ний.

Проблема приобретает еще большую остроту, если мы говорим о скриптах в браузерах. Скрипт, выполняющий­ся на странице сайта совершенно не обязан сохраняться на диск. И если установленный антивирус имеет только модуль файлового антивирусного монитора -попадет ли скрипт в браузере в его зону ответственности -это еще воп­рос. В итоге скрипт вполне может майнить при установлен­ном антивирусе.

Безвыходная ситуация? Опять и да, и нет. Найти вредоносный скрипт может модуль проверки интернет-трафика (который опять же многие не считают нужным устанавли­вать, так как «файловый монитор обязан все найти»), И данный модуль действительно предотвращает загрузку скрипта. только если трафик не шифруется без возможности перехвата и анализа.

Европейская комиссия хочет обязать приложения для обмена сообщениями и другие электронные сервисы передавать правоохранительными органам данные пользо­вателей в течение десяти дней с момента получения соот­ветствующего запроса, независимо от того, где расположена компания или хранятся данные.

Да и это тоже тенденция. Защита приватности в виде шифрования трафика не настолько сильно повредила пра­воохранительным органам, как затруднила защиту пользо­вателя от современных угроз.

Подводя итог — защита от майнеров это не столько про­блема антивируса — сколько проблема выбора продукта имеющего необходимые модули и проблема настройки средств защиты. Ситуация, когда можно было сосредото­читься на защите от файловых угроз типа шифровальщиков и игнорировать малозначимые риски типа рекламных адва- ре — ушла в прошлое.

Небольшое отступление. Еще раз о WannaCry и проблеме настройки средств защиты. При правильном выборе антивируса и корректных настройках данный троян обнару­живался без проблем (например Антивирусом Доктор Веб), но форумы иных вендоров могли быть переполнены обращениями пострадавших. Иногда даже при том. что использу­емое решение могло предотвратить заражение.

  • заражение, по видимому, произошло из-за того, что вирусная база долго не обновлялась.
  • заражение произошло внезапно. В результате работы за компьютером (в том числе в интернете) операцион­ная система предупредила о перезагрузке в результате возникновения системной ошибки. После перезагруз­ки файлы постепенно зашифровывались (антивирус, который использовался, не был обновлен.
  • …на момент заражения был выключен, к сожалению.

Опасность проблемы состоит в том, что майнеры очень быстро эволюционируют. Начав с использования легитимных программ-майнеров они достаточно быстро перешли к специальным модулям майнига, освоили средства сокрытия от пользователя, научились регулировать загрузку процессов. Уже появились бестелесные майнеры.

Майнеры, стартовав как обычные программы (правда по­требляющие излишне много ресурсов) достаточно быстро превращаются в мощное вредоносное ПО.

Продолжение в следующей статье…

1 Response

  1. Pingback : Угрозы 2018, часть 3 атаки промышленных компаний

Оставить комментарий

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.